微步情报局今天监测到互联网上曝光了Windows Server 远程桌面授权服务(RDL)远程代码执行漏洞(CVE-2024-38077),经过确认,该漏洞微软已于7月9号修复,微步漏洞情报也已于当日(1个月前)收录了相关漏洞情报,具体详情请参考:
https://x.threatbook.com/v5/vul/XVE-2024-16782
经过初步分析,该漏洞成因是由于在解码许可密钥包时,未正确检验解码后的数据长度与缓冲区大小之间的关系,导致缓冲区溢出。攻击者无需任何权限,利用该漏洞即可实现远程代码执行。此漏洞影响较大,建议受影响的客户尽快修复。
值得注意的是,该漏洞完整漏洞PoC暂未公开。微步情报局目前监测到所谓的公开PoC,经过验证为假(具体链接见文末)。建议用户谨慎下载,更不要随意运行!
由于目前正值演练期间,攻击者很可能利用该事件进行后续钓鱼攻击,建议企业对于收到的可疑样本提交到微步云沙箱S进行分析鉴定。
经过对该漏洞的初步分析,结论如下:
1. 该漏洞只影响Windows Server,不影响Windows PC。
2. 漏洞发生在远程桌面授权服务中,该服务不是默认开启的。(不开启该服务也不会影响RDP登录,所以开放了RDP也并不完全等于受该漏洞的影响)
3. 根据国外网站的漏洞利用视频,该漏洞利用稳定性可能很高。
基本信息
|
微步编号
|
XVE-2024-16782 |
漏洞类型
|
远程代码执行 |
利用条件评估
|
利用漏洞的网络条件
|
远程 |
是否需要绕过安全机制
|
不需要 |
对被攻击系统的要求
|
需开启RDL服务(默认不开启) |
利用漏洞的权限要求
|
无需任何权限 |
是否需要受害者配合
|
不需要
|
利用情报
|
POC是否公开
|
否
|
微步已捕获攻击行为
|
否 |
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2019 (Server Core installation)
官方修复方案:
-
-
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
临时修复方案:
临时关闭远程桌面授权服务,关闭该服务不会影响远程桌面服务。但关闭远程桌面授权服务后,RDP登录时只能允许同时运行2个以内的会话。
https://github.com/CloudCrowSec001/CVE-2024-38077-POC
原文始发于微信公众号(微步在线研究响应中心):Windows Server 远程桌面授权服务 RDL曝高危漏洞
评论